A VirusBuster összefoglalója 2010 második negyedévének IT-biztonsági trendjeiről - I.

1. Biztonságon nem spórolunk Vannak országok, térségek, amelyeket erősebben sújtott a világgazdasági válság, vannak, amelyeket kevésbé. Úgy tűnik, egy dologban azonban mindenhol egyetértenek a cégek, szervezetek vezetői: a biztonságot minden körülmények között fenn kell tartani -- nehéz időkben pedig különösen. Legalábbis erre következtethetünk a piackutatók jelentéseiből. A Canalys a vállalati biztonsági világpiacot felmérve, a Deloitte a pénzintézetek IT-biztonsági költségvetését tanulmányozva jutott pozitív eredményre. Van keret, a cégek frissítik rendszereiket, így a Canalys a vállalati biztonsági piacon idén nemzetközi viszonylatban 13,8 százalékos növekedésre számít. Jól jelzi a visszatérő optimizmust, hogy a szektor 2010 első negyedévi forgalma 15,2 százalékkal haladta meg a tavalyi év hasonló időszakáét. A Canalys úgy becsüli: az esztendő végére a piac eléri a 15 milliárd dolláros volument. Ennek 33,6 százaléka -- mintegy 5 milliárd dollár -- realizálódik várhatóan Európában. Az oroszlánrész -- 46,4 százalék, azaz közel 7 milliárd dollár -- Észak-Amerikának jut. A Canalys elemzői szerint a 2010-es növekedés jó része az infrastruktúra biztonsági eszközök értékesítéséből származik majd -- ezek teszik ki a szektor végfelhasználói vásárlásainak 48,7 százalékát. Folytatódik a szegmens növekedése 2011-ben is. Jövőre a Canalys 9,2 százalékos bővülést, 16,3 milliárd dolláros forgalmat jósol. Hasonló képet fest a Deloitte tanulmánya is, amely megállapítja: a pénzintézetek IT-biztonsági költségvetése általában legalább a korábbi szinten maradt, sőt sok esetben nőtt. A neves tanácsadó társaság évről évre felméri: hogyan alakul a világ pénzintézeteinek biztonsági költségvetése, melyek a terület fő prioritásai. Az idei, sorrendben hetedik tanulmány szerint a megkérdezettek 56 százaléka költ többet 2010-ben IT-biztonságra, mint tavaly. Mi több: 2009-hez képest ötödével kevesebben (56 helyett csupán 36 százaléknyian) nyilatkoztak úgy, hogy az IT-biztonságuk javításának útjában álló egyik fő akadály a pénzhiány. A válaszadók több mint 70 százaléka tervezi, hogy a következő 12 hónapban bevezet valamilyen új biztonsági technológiát. S mely biztonsági területeket tartották a legfontosabbaknak? Százalékarányuk sorrendjében az őt fő prioritás a következő volt: (1) azonosítás és hozzáférés-kezelés, (2) adatvédelem, (3) a biztonsági infrastruktúra javítása, (4) a jogszabályoknak és előírásoknak való megfelelés, illetve (5) a megfelelés javítása. Ez az első esztendő, amikor a törvényeknek és hatósági szabályozásnak való megfelelés felkerült a prioritások ötös toplistájára. 2. Adatainkért mindent megtesznek? Miközben a cégek úgy érzik: kellően védik ügyfeleik adatait, kívülről nézve más a kép. Az Accenture és a Ponemon Intézet közös kutatásában a megkérdezett szervezetek háromnegyede nyilatkozott úgy, hogy megfelelően óvják az érzékeny, illetve személyi információt. Mégis, több mint felük beismerte: az elmúlt két év folyamán vesztett el érzékeny adatokat. A felmérés, mely 19 országra terjedt ki, 5.500 cégvezető és 15.500 felnőtt fogyasztó véleményét összegzi. Mint kiderült: a szervezetek adatvédelmi szándékai és a valóság között jókora szakadék tátong. Valójában az érzékeny személyi adatok -- név, cím, születési idő, faji hovatartozás, személyi azonosító számok, orvosi leletek -- egyáltalán nincsenek akkora biztonságban, mint azt maguk az őket kezelő cégek gondolják. Néhány érdekes szám a tanulmányból: • A cégek 58 százalékánál számoltak be legalább egy adatbiztonsági incidensről az elmúlt két évben, mégis 73 százalékuk szerint szervezetük megfelelő intézkedésekkel és szabályozással védi az általa kezelt személyes adatokat. • A céges válaszadók közel fele nyilatkozott úgy, hogy fontos vagy nagyon fontos: > az érzékeny személyi információk gyűjtésének és kiadásának korlátozása (47, illetve 46 százalék); > a fogyasztói személyiségi jogok védelme (47 százalék); > annak megakadályozása, hogy személyi adatokat adjanak át olyan országnak, ahol nem kielégítő az adatvédelem jogi szabályozása (47 százalék); > a fogyasztók ellen irányuló számítógépes bűnözés megakadályozása (48 százalék); > az adatlopás és adatvesztés megakadályozása (47 százalék). • Az adatbiztonsági incidenseket leggyakrabban üzleti vagy rendszerhiba, továbbá emberi mulasztás vagy tévedés okozta (57, illetve 48 százalék); csak az incidensek 18 százalékában történt hackertámadás. • A fogyasztók 70 százaléka tartotta fontosnak vagy nagyon fontosnak személyiségi jogait és személyi adatait, ugyanakkor 42 százalékuk úgy vélte: a szervezetek nem védik eléggé a rendelkezésükre bocsátott ilyen jellegű információt. • Minden második fogyasztó (53 százalék) úgy vélte: joga van ellenőrizni, hogyan használják fel a vele kapcsolatos személyes információt. Ugyanilyen arányban voltak azok, akik arra is jogot formáltak, hogy hozzáférhessenek a szervezetek által gyűjtött és felhasznált adatokhoz, s szükség esetén felülvizsgálhassák azokat. • Arra a kérdésre: kinek az elsődleges felelőssége a megfelelő információvédelem biztosítása, a válaszadók 4 százaléka a kormányt, 21 százaléka a cégeket, 19 százaléka az érintett személyeket jelölte meg, 20 százalék pedig úgy vélte: közös erőfeszítésre van szükség. Bizony, az elővigyázatosság mind a szolgáltatók, mind az ügyfelek oldalán nagyon fontos -- intette a cégeket a Verisign, miután kutatói megállapították: mind könnyebb és olcsóbb egy-egy online támadásra botnetet szerezni. Már óránként 7 euró körüli összegért is lehet botnetet bérelni, s az átlagos napidíj valamivel 53 euró alatt van -- derítették ki a Verisign iDefense részlegének szakemberei. Márpedig ha a hackertámadásra alkalmas infrastruktúra ilyen könnyen és olcsón, szolgáltatásként hozzáférhető, akkor arra is mind nagyobb az esély, hogy egy cég site-ja ilyen támadás célkeresztjébe kerüljön -- figyelmeztetnek a kutatók. A Verisign három fórumon 25 botnet-üzemeltető "kampányát" követte. A bűnözők nem egy esetben hagyományos marketing eszközökkel, például bannerrel hirdették szolgáltatásukat. Mindez jól mutatja, mennyire kifinomult, iparszerű tevékenységről van szó. Az egyik fórumon még arra is külön árat ajánlottak, ha a megrendelő támadások ellen jól felkészített, védett site-ot szeretne megbénítani. Napjaink legelterjedtebb, pénzügyekre szakosodott rosszindulatú programja egyébként a Zeus, amely áldozata online banki belépőire vadászik. A kártevő legújabb kiadása HTML-befecskendezéssel (HTML injection) és tranzakció-hamisítással (transaction tampering) támad, s így az erős autentikáción és a tranzakció-aláíráson is át tud törni -- állítja a Trusteer IT-biztonsági cég. A fegyverkezési verseny szakadatlanul folyik -- mind a bűnözők, mind az ellenük védelmet kínáló cégek újabb és újabb technikákat dolgoznak ki. Nemrég a Mozilla Firefox vezető tervezője, Aza Raskin mutatott be -- saját blogján demonstrálva -- egy új támadási elvet, amely egyelőre nemcsak a Firefox, hanem az Internet Explorer és más böngészők ellen is bevethető. Magyarul talán "lapító lapos" technikának nevezhetnénk az eljárást, Raskin angolul "tabnapping"-nek keresztelt. A támadás akkor érheti a felhasználót, ha egyszerre több böngészőlapot (tab-et) tart nyitva. Ha az áldozat ekkor az éppen aktív lapon rosszindulatú vagy feltört site-ot nyit meg, akkor az új technika segítségével a hacker észrevétlenül megváltoztathatja valamelyik másik, nem aktív lap (tab) tartalmát és fejét. Így, amikor a felhasználó kiválasztja (aktiválja) az időközben meghamisított lapot, akkor ott akár egy csali beléptető oldallal -- például egy Gmail beléptető-utánzattal -- találkozhat. Raskin jelezte: a Firefox következő kiadásához készülő fiókkezelő (Account Manager) megvéd majd az ilyen támadásoktól A hírre reagálva Jerry Bryant, a Microsoft biztonsági kommunikációs vezetője hangsúlyozta: csak akkor adjuk meg egy site-on a belépési azonosítóinkat, ha a böngésző [az Internet Explorer] címsorában megjelenik a lakat szimbólum, s ha meggyőződtünk a cím helyességéről. Az Internet Explorer legfrissebb, 8-as változatának SmartScreen szűrője is segíthet egy esetleges támadás kivédésében, miután kiszűri azokat a webhelyeket, amelyek bizonyítottan vagy feltételezhetően adathalászattal foglalkoznak -- tette hozzá. Jóllehet hazánk igazán nincs a világgazdaság középpontjában, s magyarul jóval kevesebben tudnak, mint angolul, a világhálón tekergő adathalász hálók bennünket sem kerülnek el. Április elején, majd alig egy hónappal később ismét közlemény kiadására kényszerült az OTP Bank: csalók próbáltak visszaélni a pénzintézet nevével. "Az angol nyelvű, 'otpbank.hu account notification' [=ügyfélfiók értesítés] tárgyú, vírust tartalmazó levelet az OTP nevét felhasználva küldték el több száz postafiókba. Felhívjuk ügyfeleink figyelmét, hogy semmilyen módon ne reagáljanak a szövegre, és kérjük, a leveleket töröljék" -- olvashattuk a bank honlapján. Az OTP mindkét esetben hangsúlyozta: soha nem kért és nem kér e-mailben ügyféladatokat, s megtették a szükséges biztonsági intézkedéseket és jogi lépéseket. "Nem célzottan az OTP elleni támadásokról volt szó -- mondja Szappanos Gábor, a VirusBuster víruslaboratóriumának vezetője. -- Sűrűn észleltünk olyan, trójait terítő üzeneteket, amelyekbe az "account notification" kifejezés elé a címzett domain-nevét szúrták be a bűnözők. Így láttunk sok olyan vírusszóró levelet is, amelynek tárgyában a virusbuster.hu domain szerepelt." Április közepén kicsit más jellegű, de szintén bankok nevével visszaélő adathalász üzenethullámot észleltek a VirusBuster szakértői. Az angol nyelvű kéretlen levelek azzal riogatták a címzettet, hogy online banki felhasználói fiókjuk lejár. Aki rákattintott az e-mailben megadott linkre, s a megnyíló csalárd oldalon megadta banki azonosítóit, az bizony rosszul járt.